導讀一、IPsecVPN應用場景企業分支可以通過IPsecVPN接入到企業總部網絡。機密性（Confidentiality）指對數據進行加密保護用密文的形式傳送....

一、IPsec VPN應用場景

企業分支可以通過IPsec VPN接入到企業總部網絡。

機密性（Confidentiality）指對數據進行加密保護用密文的形式傳送數據。

完整性（Data integrity）指對接收的數據進行認證，以判定報文是否被算改。

防重放（Anti -replay）指防止惡意用戶通過重復發送捕獲到的數據包所進行的攻擊，即接收方會拒絕舊的或重復的數據包。

二、IPSec架構

IPSec VPN體系結構主要由AH（Authentication Header）、ESP（Encapsulating Security Payload）和IKE（Internet Key Exchange）協議套件組成。

AH協議：主要提供的功能有數據源驗證、數據完整性校驗和防報文重放功能。然而，AH 并不加密所保護的數據報。

ESP協議：提供AH協議的所有功能外（但其數據完整性校驗不包括IP頭），還可提供對IP報文的加密功能。

IKE協議：用于自動協商AH和ESP所使用的密碼算法。

三、安全聯盟SA

安全聯盟定義了IPSec對等體間將使用的數據封裝模式、認證和加密算法、密鑰等參數。

安全聯盟是單向的，兩個對等體之間的雙向通信，至少需要兩個SA。

手工方式：安全聯盟所需的全部信息都必須手工配置。手工方式建立安全聯盟比較復雜， 但優點是可以不依賴IKE而單獨實現IPSec功能。當對等體設備數量較少時，或是在小型靜態環境中，手工配置SA是可行的。

IKE動態協商方式：只需要通信對等體間配置好IKE協商參數，由IKE自動協商來創建和維護SA。動態協商方式建立安全聯盟相對簡單些。對于中、大型的動態網絡環境中，推薦使用IKE協商建立SA。

四、IPSec傳輸模式

在傳輸模式下， AH或ESP報頭位于IP報頭和傳輸層報頭之間。

五、IPSec隧道模式

在隧道模式下，IPsec會另外生成一個新的IP報頭，并封裝在AH或ESP之前。